Cloud & Telecom Security

最近美国IT企业并购可谓遍地开花，这边Intel刚刚宣布购买McAfee，那边Dell和HP还在为存储服务商3PAR打的不可开交（让我想起去年NetApp和EMC争夺Data Domain的案例），3PAR的股票从两个星期前的10美元不到已经涨到接近28美元。今天华尔街日报又传出安全厂商ArcSight正在和Oracle, IBM, HP, EMC和CA等潜在买家接洽，消息传出后ArcSight的股票(ARST)应声涨了30%。

Arcsight的潜在买家中没有Cisco，这让我比较吃惊。ArcSight是做SIEM (Security Information and Event Management)的，和Cisco的MARS直接竞争，我一直觉得Cisco是ArcSight最合适的买家。Symantec的产品和ArcSight也有很好的整合度，本来也是一个潜在的买家，不过在Mcafee被收购后，它自身可能也难逃最终被收购的命运。相对而言，ArcSight产品的整合度和Oracle的Enterprise Manager或者HP的OpenView就没有那么高。

信息安全这几年来一直是一个增长很快的领域，并且正在成为企业整体解决方案中不可或缺的一部分，这也是为什么近几年IT巨头纷纷出手收购安全公司。此外，独立的安全公司规模往往较小，比较容易被收购。比如安全行业的”巨头” Symantec的市值也不过110亿美元，为IBM的1/15，HP的1/9，Oracle和Cisco的1/10。抚今追昔，下面我们来看看最近几年美国的IT巨头们都收购了哪些安全企业:

IBM:

• 2010年7月：BigFix (Security Management)
• 2009年11月：Guardium (Database Security)
• 2007年6月：Watchfire (security testing)
• 2006年 8月：ISS

Cisco:

• 2009年12 月：Scansafe (Saas WebSecurity)
• 2007年11 月：Securent (Entitlement Management)
• 2007年1月： IronPort (Email and Web Security)

HP:

• 2010 年8月： Fortify (Software Security)
• 2009年11月：3Com (Tippingpoint)
• 2007年6月：SPI Dynamics (Web Security Testing)

Intel:

• 2010年8月：McAfee

EMC:

• 2009年5月：Configuresoft (Change and Compliance management)
• 2006年6月：RSA Security

最后来说说我比较熟悉的Oracle:

Oracle除了今年5月份收购英国的数据库防火墙公司Secerno外，其在安全领域的并购主要集中在身份管理(Identity Management)领域。当然，Oracle对Sun和BEA的收购也为其带来了一些安全产品。 目前Oracle在安全方面的产品主要集中在Database Security，Identity Management和Enterprise Manager这三个产品线。尤其在Identity Management领域，在收购Sun后，Oracle俨然已经成为这个领域最有实力的厂家。

抚今追昔之后，让我们再来展望一下未来，看看还有哪些安全企业可能被IT巨头们收入囊中。下面是几个我认为最可能被收购的安全公司:

• Symantec (SYMC):  Symantec除非自己做大做强，否则难逃被并购的命运。不过其110亿美元的市值有些高，使得眼下其被收购的吸引力不大。估计等它的股票再跌一跌，到市值相对便宜的时候就会有IT巨头出手。
• Sourcefire (FIRE): 不到7亿美元的市值，今天Arcsight的消息出来之后其股票也跟着涨了11%，来看华尔街对其被收购的预期比较大。
• Fortinet (FTNT): 13亿美元的市值。Fortinet的创始人早期创立了Netscreen，后来卖给了Juniper，不知道若干年后会不会把Fortinet再卖给Cisco或者Juniper?
• Palo Alto Networks (private)：小型的防火墙公司，产品很有特色。不知道会不会被Cisco或者Juniper收入囊中。
• Qualys (private)：一直有Qualys将要上市的传言，不过近来美国股市表现不佳，短期内其上市的可能性不大。如果拖延太久而VC又想早日套现的话，Qualys也很可能被收购。

昨天晚上的手机短信就没有断，不少朋友都在议论这个收购。 同意Jeff的看法，Intel这个“跨界”距离忒大了些。此前，也一直风传TrendMicro/McAfee等独立安全公司在寻找购并机会，包括Hp收购McAfee，看到这个消息还是让人吃惊。

后面怎么也得有段时间McAfee独立运作了，也看不出有什么中间交叉业务，McAfee, an Intel company. 有新闻认为Intel出手是看好手机和硬件安全云云，有些牵强。

这个收购时Intel42年历史上的最大手笔，WSJ评论也表达了Intel有些“冲动”的担心，点击看华尔街日报的相关新闻和评论….. Read more…

转帖注：贵为HP CEO的赫德因为2万美元还有一个性骚扰就被解雇了，炒了鱿鱼，对比唐骏“学历门”事件中新华都、以及社会舆论在“诚信”问题上的暧昧态度，让人忍不住会质疑社会和政府正在默许鼓励纵容一种什么样的价值观，对孩子未来的世界观会产生什么样的影响，这些的恶果最终都会反弹回来，砸到社会和我们自己身上。

科技时代_时代周刊：惠普为什么必须赶走赫德

当历史照进现实

约4年前，时任惠普CEO和董事会主席的马克·赫德(Mark Hurd)在美国国务院作证时向美国众议院能源与商业委员会表示：“如果公司创始人比尔·休莱特(Bill Hewlett)和戴夫·帕卡德(Dave Packard)今天还活着的话，那他们会感到震惊，他们会觉得羞愧难当。”那个时候，惠普正因暗中监视记者和董事会成员一事饱受批评。这个不光彩的事件也导致当时的惠普董事会主席帕特丽夏·邓恩(Patricia Dunn)下台。当时邓恩甚至面临重罪指控，但所幸逃过一劫。 Read more…

两则云安全联盟的新闻：

- 8月11日，云安全联盟中国区分会CSA-GCC成为正式分会。

- 7月28日，云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材，9月1日推出。企业成员将会免费获得两个认证考试指标。

Google今天推出了面向联邦政府的云计算平台,具体的新闻请参阅: http://googleblog.blogspot.com/2010/07/introducing-google-apps-for-government.html

几点体会:

1. 山姆大叔每年在IT方面的投入超过千亿美元(联邦政府760亿美元，各地方政府500亿美元）,并且这些投入受经济周期的影响很小。政府市场绝对是一块上等的奶油蛋糕。但是根据业界统计，目前美国联邦政府的云计算市场规模大概在4亿2千万美元，到2015年可能达到14亿美元，云计算刚刚开始在政府铺开。

2. 云计算安全是一个重点，面向政府的云计算，安全更是重中之重。Google宣布自己的平台取得了FISMA-Moderate的认证级别，在业界是第一家。此外，Google将面向政府的云计算平台和商用平台进行了数据隔离以确保安全性。政府对云计算的接受将有助于缓解企业对云计算安全性的担忧。

3. 前进的道路上当然不会一帆风顺。Google给洛杉矶市政府实施的云计算项目(替换了Novell的Groupwise软件）目前遇到了一些挫折。该项目如能顺利完成，洛杉矶市的3万4千名政府雇员将开始使用Google的邮箱日历等应用程序。

上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件，调整明确了在网络空间安全方面的任务分工：

Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector.  At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA.  The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…

印度有一个数据安全理事会DSCI(Data Security Council of India)，CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后，Kamlesh把主要观点和动议编辑成一份白皮书，有EWI公开发行.

这份报告站位比较高，很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾，改变了不少我们以前对于印度在网络安全方面的看法，推荐阅读。

下面是文档中使用的Kamlesh的官方简介：

Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics  and Telecommunication Engineers, India, and at the National Academy of Sciences, India.

Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft，他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。

总体上感觉，与RSA安全大会相比，Gartner大会偏重于“未来”，按照Gartner自己的会议定位，是意图在“战略”和“执行”，在“技术”和“业务”，之间取得平衡。会后我认为Gartner实现了自己的目标，下面把我的一些观感和大家分享。

1 会议的涉猎范围非常广泛，从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性（Resilience）企业、绿色地球、安全情报、到云计算职业人生规划等。

2 云计算和云安全，在Gartner的分析师和这次峰会的演讲者中，已经转向了实现和How的部分 Read more…

读到今天新浪科技的新闻“Windows反应迟缓 平板厂商被迫转投Android”，忍不住以“战略的胜利”为题转帖一下。

我对iPad的观点经历了几次转变：在发布前，我和儿子都喜欢、都很想买；发布后，看媒体评论，褒贬不一，还是决定和儿子去买；到了苹果店现场试用，和儿子都觉得就是个大号iPhone/iPod Touch，输入不方便，没有USB，单任务等，第一次没有买；忍不住又去看其它各家的上网本、超便携笔记本，看了一圈下来，了无新意，觉得还是iPad才是正选；再次杀到苹果店，刷卡买了一台，越用越喜欢；相信iPad的确是战略上的大领先…

这次苹果在iPad上的领先，看来比原来iPod/iPhone上的领先还要长一段时间，需要其它有心竞争的选手们更多的资源投入、“合纵”集成能力。iPad是蓝海战略的成功，它创造了超便携笔记本和智能电话之间的一片“蓝海”。不知道在Jobs或架构师的战略版上是怎么画的。下面是本人杜撰的“草根版”iPad价值曲线：

• 去掉了：“灵活”全尺寸的键盘；“丰富”的外部接口；“强大”的多任务执行能力
• 减弱了：存储空间；计算能力
• 增强了：超长的电池持续时间；绚丽的屏幕视觉效果；便携性；易用性
• 创造了：独特的应用价值链；独特的互联网体验；独特的电子阅读和游戏体验

以下是新浪科技新闻原稿…… Read more…

导读：美国IT网站 eWeek今天撰文称，在史蒂夫·鲍尔默(Steve Ballmer)的领导下，微软不仅开展了历史上首次裁员，甚至失去了全球最值钱科技企业的头衔。为了要带领微软重新振兴，从而保住自己的声誉，鲍尔默必须做10件事情。以下为文章全文：
微软CEO史蒂夫·鲍尔默处于危险的境地。从比尔·盖茨(Bill Gates)手中接过微软的帅印以来，该公司已经雄风不再。当鲍尔默刚刚接任微软CEO时，该公司的市值超过5000亿美元，但如今却仅为2000多亿美元。甚至连全球最值钱科技公司的宝座也被苹果抢走。
在鲍尔默的领导下，微软还开展了有史以来第一次裁员。所以，鲍尔默似乎是时候思考一下如何保住自己的声誉了。在他的领导下，微软从IT行业历史上最成功的企业变成了苹果的手下败将，在搜索领域也长期未能获得有利地位。
以下就是鲍尔默振兴微软，并保住个人声誉必做的10件事：
1、Windows并非一切
很多企业都会拼命地抓住过去的荣耀，尽管他们自己也知道这并非上策。而微软就是这样一家企业。Windows目前仍在微软的战略中占据核心地位。从某种意义上讲，这种做法完全可以理解。Windows每年都会为这家软件巨头带来数十亿美元的利润，所以微软肯定不愿意放弃这款产品。但鲍尔默应当明白，他不需要放弃Windows，只是应当将更多注意力放到其他地方。Windows可以安然度过今后为数不多的几次软件变革，而不会遭遇太多困境。但却不应当继续成为鲍尔默的重点。 Read more…

【注】本文节选自为即将发布的绿盟技术内刊，我被邀写一写新的动向，于是捉刀砍向最近关注的ICT供应链完整性，或大家更喜欢“安全”。这个话题在这篇初次提到，又在这篇再次涉及到，这次的内容稍微丰富了一些，希望能够给大家在工作研究之余，多一些参考。

1、什么是供应链安全？
供应链安全并不是一个新词汇，在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入，供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下，政府权威机构和业界发起了一系列的安全增强活动。例如，由美国国土安全部海关与边界保护局（CBP）推动，与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT（Customs-Trade Partnership Against Terrorism）成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划，于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统，以确保供应链从起点到终点的运输安全，安全讯息及货物状况的流通，从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同？
相对于IT和电信来说，信息通信技术（ICT）是个相对较新的词，虽然关于其定义，也有一些争论，读者可以参见维基百科，也可自行使用百度或Google搜索相关结果。
在转型的时代主题下，电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…

云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版，对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页：

本白皮书由开放式 Web  社区的 1300  多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者，但这一队伍迅速壮大，目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。

在本白皮书撰写过程中，宣言中的三个原则至关重要：1)  用户应通力合作；2)  保持云计算 开放的任何行动应以客户利益为导向；3)  尽可能沿用现行标准。

本白皮书应不定期更新，并进行扩展和修订。我们在此将其翻译成中文版本，供中国的云 计算社区使用，借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。

衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…

继续开会！

6月9日，CSO杂志在纽约举办了一次以数据保护和加密为主题的论坛，邀请到了若干位CSO/CISO/CPO谈企业的数据保护和加密相关策略实施等。赞助商中除了“一个都不落下”的McAfee之外，还有办RSA大会的RSA, 电信行业中第一个出版安全报告的Verizon，以及几家做数据安全管理产品的startup公司。

做报告和Panel的几位CSO/CISO/CPO都口若悬河，坚定地认为并强烈推荐 – 加密->所有的笔记本、U盘、智能手机、Data-at-rest、Data-in-motion、…. 为什么？ 因为这样你可以睡觉时安稳些，有人掉了电脑，你不用上媒体、回答监管机构的询问，因为数据是加密的… 这个观点我是支持的了，因为有过那样的教训。尤其是“当用户数据泄漏需要向当局汇报并通知受害者”逐渐成为法律时，事情就更加严肃了。

Read more…

Of course, in black Jobs is cool. Beetles is his favorite. It is a very interesting interview, a lot of fun, particularly when Jobs talked about their “relationship” with Google…

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会